Parfois, on se dit qu’en ligne, le danger est vraiment partout. L'application d'identification itsme veut permettre à chacun de participer en toute sécurité à notre société numérique. “Quiconque se connecte et s’identifie avec notre application court très peu de risques”.
itsme, l'appli qui gère votre identité numérique, a vu le jour en 2017 grâce à un consortium de quatre banques belges (Belfius, BNP Paribas Fortis, ING et KBC) et de trois opérateurs télécoms (Proximus, Orange Belgium et Telenet). Crise sanitaire oblige, l'utilisation de l'application a explosé: désormais, elle est utilisée par plus de 5 millions de Belges. Cet été, itsme a levé 24,7 millions d'euros auprès de ses actionnaires et de la Société fédérale de participations et d'investissement. Une augmentation de capital qui souligne les ambitions européennes de l'entreprise.
“Le manque de fiabilité est l'une des plus grandes menaces qui planent sur l'internet”, déclare Miguel De Bruycker, Managing Director du Centre pour la cybersécurité Belgique. “Des systèmes comme itsme devraient devenir la norme. Un internet sécurisé basé uniquement sur l'accès anonyme, cela revient à essayer d'assurer la sécurité routière avec des voitures qui n'ont pas de plaque d'immatriculation. Certains services ne peuvent être fournis de manière anonyme, je pense notamment à l'accès aux données médicales ou à celles liées à la retraite.”
“Nous devons intégrer encore plus de couches de sécurité afin que, lorsque vous visitez un site Web, vous créiez un mécanisme qui rende visible l'‘éditeur responsable’ dans le navigateur. Et pourquoi ne pas vous connecter à votre compte de messagerie avec itsme? Vous savez alors que le courriel provient effectivement d'une personne dont l'identité a été validée. Vous éviterez ainsi ‘la fraude au CEO’, où quelqu'un se fait passer pour le patron par courrier électronique et demande de toute urgence au comptable de payer une facture.”
“Via suspect@safeonweb.be, le Centre pour la cybersécurité Belgique appelle les citoyens à transmettre les messages suspects. Nous en recevons en moyenne 13.000 par jour. Nous vérifions les liens et les pièces jointes des messages transférés de manière entièrement automatique et faisons bloquer les liens suspects aussi rapidement que possible. De cette façon, nous pouvons identifier certaines tendances très rapidement.”
Nous recevons en moyenne 13.000 messages suspects par jour.
Stephanie De Bruyne, CEO de Belgian Mobile ID, la société derrière itsme: “Nous proposons actuellement quatre services qui permettent aux citoyens et aux entreprises d'interagir en toute sécurité sur le Web. On parle principalement d'identification lorsque vous devez partager des données d'identité en tant que nouveau client dans une banque ou nouvel utilisateur sur un site Web. Via l'authentification ou la connexion, vous vous connectez à des applications ou à des sites Web. C’est la fonctionnalité la plus fréquemment utilisée. La confirmation, quant à elle, sert principalement à confirmer une action, telle qu'un ordre ou un transfert. Enfin, la quatrième application est la signature qualifiée, qui a la même valeur juridique que la signature manuscrite. Pour tous nos services, de l'identification à la signature, nous respectons le niveau de sécurité le plus élevé.”
Qu'est-ce qu'itsme offre de plus que les autres méthodes d'authentification, comme la carte bancaire, le nom d'utilisateur, le mot de passe ou les codes QR?
Stephanie De Bruyne: “Notre application repose sur une identité mobile. Dès que vous créez un compte itsme, nous savons avec 100% de certitude qu’il s’agit de vous. La création d'un compte prend un certain temps mais c'est tout à fait volontaire: les citoyens doivent comprendre que nous devons rendre le processus aussi sûr que possible. De plus, nous nous distinguons en tant que mécanisme de vérification multifactorielle. itsme ne fonctionne que si vous utilisez la combinaison de l'application sur votre smartphone (quelque chose que vous avez) et de votre code personnel itsme (quelque chose que vous savez) ou de votre empreinte digitale (quelque chose que vous êtes). Avec itsme, pas besoin donc de créer un nom d'utilisateur et un mot de passe sur le site Web auquel vous souhaitez vous connecter. Un nom d'utilisateur et un mot de passe sont des ‘facteurs uniques’ et sont beaucoup plus faciles à hacker que les méthodes dites ‘à facteurs multiples’.”
La création d'un compte itsme prend un certain temps mais c'est tout à fait volontaire: les citoyens doivent comprendre que nous devons rendre le processus aussi sûr que possible.
Vos utilisateurs sont régulièrement la cible de messages de phishing. Comment se protéger des imitateurs?
Stephanie De Bruyne: “Lorsque vous effectuez une interaction itsme, vous ne remplissez rien sur un site Web. Vous ne donnez que votre numéro de téléphone afin qu'un message puisse être envoyé à votre application itsme. Ainsi, vous ne laissez ni noms d'utilisateur, ni mots de passe sur l’internet.”
“Les fraudeurs peuvent peut-être imiter le site Web d'un partenaire mais en aucun cas envoyer une notification à votre application personnelle itsme. Chaque partenaire itsme dispose d'une connexion unique et sécurisée avec notre système. Seules les entreprises connectées à itsme peuvent demander à leurs utilisateurs de se connecter ou de se signer avec itsme.”
“Parfois, itsme sert d ‘appât’ pour ‘pêcher’ vos coordonnées bancaires. Mais jamais itsme ne vous demandera via e-mail, SMS ou appel téléphonique, de réactiver votre compte et de saisir à nouveau vos coordonnées bancaires.”
Les citoyens sont-ils déjà suffisamment conscients de la nécessité de se connecter et de s'identifier en toute sécurité?
Stephanie De Bruyne: Derrière chaque compte il y a un utilisateur authentifié, et chaque partenaire dispose d’une connexion sécurisée avec itsme – c’est l'une de nos grandes forces. En outre, en tant qu'utilisateur, vous voyez et confirmez chaque action (vous connecter ou signer) ainsi que les données que vous souhaitez partagez à chaque action. Nous suivons strictement la réglementation RGPD à cet égard, et nous n'autoriserons pas les partenaires à demander des données qu'ils ne sont pas autorisés à avoir.
Créer la confiance, voilà notre grand défi. C'est pourquoi nous nous efforçons d'être aussi transparents et reconnaissables que possible, ce qui explique aussi pourquoi nos utilisateurs effectuent toujours le même rituel: ils saisissent leur numéro de téléphone mobile, reçoivent ensuite une notification dans leur application itsme, et la confirment. De cette façon, même les personnes les moins averties en matière de technologies numériques ont accès à un internet sûr.”
Vos applications ouvrent-elles aussi des opportunités pour les entreprises?
Etablir un standard sur le marché est crucial. Si chaque entreprise se met à échanger, demain, des données à sa propre manière, la situation deviendra très rapidement ingérable.
Stephanie De Bruyne: “Absolument. Plus de 500 entreprises en Belgique utilisent itsme aujourd’hui, non seulement pour leurs clients mais aussi comme mécanisme de connexion pour leurs propres applications au sein de l’entreprise. La signature qualifiée, reconnue par l'Europe, intervient souvent lors de la signature de contrats nationaux ou internationaux. Dans un avenir proche, itsme servira également de plus en plus, pour échanger des données sécurisées en ligne. Nous attendons une évolution du marché dans laquelle les citoyens et les entreprises pourront décider eux-mêmes de ce qu'ils partagent et avec qui. Ainsi, vous pourriez par exemple utiliser l'application pour autoriser un nouvel employeur à rechercher votre diplôme dans la base de données de l'université. Nous ne stockerons jamais ces données chez nous mais nous voulons jeter des ponts avec toutes ces sources de données externes afin que celles-ci puissent être échangées de façon sûre et transparente.
De cette manière, une entreprise peut tout numériser avec le plus haut niveau de sécurité. Mais, établir un standard sur le marché est crucial. Si chaque entreprise se met à échanger, demain, des données à sa propre manière, la situation deviendra très rapidement ingérable. Afin de garantir sécurité et vie privée, nous devons impérativement évoluer vers une norme et une expérience utilisateur standard.”
itsme compte plus de 5 millions d'utilisateurs. Êtes-vous en pole position pour créer cette norme?
Stephanie De Bruyne: “Notre application est actuellement utilisée en Belgique, aux Pays-Bas et au Luxembourg. Une expansion ailleurs en Europe est l'une des possibilités. Depuis décembre 2019, itsme est reconnu par l'Europe comme identité numérique. Nous sommes l'un des rares acteurs à disposer de toutes les accréditations pour l'identification, l'authentification et la signature. Et nous servons à la fois le secteur public et le secteur privé. Ainsi, au niveau européen, nous nous attendons à ce qu'un nombre limité d'acteurs déserveront un territoire de plus en plus vaste. Mais il faut que les pays approchés aient atteint une certaine maturité. que vous abordez. En Belgique, nous nous appuyons sur la carte d'identité électronique pour créer l'identité mobile vérifiée, mais dans les pays qui n'ont pas de carte d'identité électronique, la base fait défaut.”
